小米企業的aiot戰略（AIoT平臺企業的安全隱私合規實踐指南）

2023-05-17 14:24:01

作者：宋文寬

小米信息安全與隱私委員會秘書長

編者按

「AIoT」即「AI IoT」，指的是人工智慧技術與物聯網在實際應用中的落地融合。隨著互聯設備的增加，AIoT領域的安全和隱私風險也在不斷擴大，其中安全事件（比如數據洩漏，服務不可用等）造成的影響也在逐年增長。快速擴大的安全風險，逐步提升的用戶安全隱私意識，以及日趨嚴格的法律法規要求，使得信息安全與隱私保護成為了每個AIoT平臺企業的生命線。

本文結合小米集團AIoT安全隱私保護實踐，從全球立法、消費物聯網安全風險、平臺企業的合規路徑三個方面展開分析，共同探討安全隱私的合規路徑，以期為AIoT平臺企業提供相關的實務指引。

✨溫馨提示：

文末附《小米安全隱私實踐白皮書合集》（6份）以及「數據合規實務交流群」入群方式，如有需要，可自行獲取！

目

為適應歐盟新立法框架（New Legislative Framework，NLF），2014年5月22日，歐盟官方期刊(L 153/62)公布了新版本的無線電設備指令2014/53/EU，用以替換原有的無線電及電信終端設備指令1999/5/EC。2018年6月12日起，無線電設備投放市場前，製造商應針對低水平符合基本要求的無線電設備在中心系統進行設備類型註冊登記。

2019年6月27日，歐盟2019年《網絡安全法案》正式施行。這是歐盟繼《一般數據保護條例》（GDPR）、《非個人數據自由流動條例》之後又一部重磅網絡安全頂層設計法律。其規制內容主要為上述歐盟機構在處理個人用戶、組織和企業網絡安全問題的過程中加強網絡安全結構、增強對數位技術的掌控、確保網絡安全應當遵守的法律規制，旨在促進衛生、能源、金融和運輸等關鍵部門的經濟,特別是促進內部市場的運作。歐盟的《網絡彈性法案》（Cyber ResilienCE Act）提案，要求了所有連接設備的基線網絡安全標準和更嚴格的關鍵產品符合性評估程序。企業將必須證明它們滿足網絡安全的基本要求，從而將攻擊風險降至最低。不遵守規定的企業將被處以最高1500萬歐元的罰款，或相當於上一年全球營業額的2.5%，以更高的金額為準。

美國其實已經有相關的法案，而且已經明確授權國家標準與技術研究院（National Institute of Standards and Technology，NIST）主導物聯網的安全風險和隱私風險有關的研究活動。

在「消費者數據隱私」領域，歐洲有GDPR，而美國沒有統一聯邦法案，而是各州在醫療、金融領域制定了一些相關規範。

在「網絡安全」領域，歐盟有「The EU Cybersecurity Act」（已經在歐盟和英國生效）以及「The NIS Directive」；美國有「The IoT Cybersecurity Improvement Act」（《物聯網網絡安全改進法案》，2020年12月法案通過），該法案要求美國國家標準與技術研究院 (NIST) 和管理和預算辦公室 (OMB) 採取特定步驟來提高物聯網 (IoT) 設備的網絡安全。

二、物聯網的網絡安全與隱私保護場景

（一）IoT產品的安全風險建模

1. 傳感器（Transducer Capabilities）

第一個關鍵詞：Sensing

第二個關鍵詞：Actuating，其實是把雲端指令反向翻譯成能夠開關的動作。

2. 數據處理（Data Capabilities）

第一個關鍵詞：Data Processing

第二個關鍵詞：Data Storing

數據處理包括廣義的數據處理與狹義的數據處理。通常理解的數據處理即為狹義的數據處理，只關注「處理」這一行為，並沒有意識到「處理」前後的「數據存儲（Data Storing）」也是數據處理的一部分。

3. 接口安全（Interface Capabilities）

接口包括三個層面：App、人機互動、網絡。

幾乎市面上所有產品都會有人機互動的界面，還有網絡支撐雲端的數據傳輸系統。

4. 支撐功能（Supporting Capabilities）

物聯網最大的一個問題就是設備的管理，因為物聯網中的設備往往沒有統一的序列號。另外網絡能力的問題、隱私保護能力的問題也非常棘手。所謂「千裡之堤，潰於蟻穴」，這些都是IoT產品在進行安全風險建模時需要著重考慮的支撐功能問題。

（二）IoT產品的安全風險場景

1. 初始化/更新

如果設備的初始化過程沒有設計好，就容易具有「侵入性」。初始化時會加載各種密鑰與雲端連接，很多實際的安全風險都在這個階段發生，惡意App往往會在此時乘虛而入。如果沒有做好初始化設計，也可能會遇到在啟動時惡意加載的情況。

2. 互操作性

互操作性是指用戶與雲端籤訂協議，這種協議在增加便利性的同時也增加了風險產生的可能。

3. 標識和加密

物聯網的每個晶片或者每一個物聯網的場景並沒有唯一的硬體序列號，也就是一個相對分散的領域，所以統一標識便非常困難，更不用說加密了。

4. 服務自發現和啟動

為了讓用戶在使用上更加簡便，很多 IoT 產品擁有一鍵聯網和自動識別的功能，這些便利性的功能在降低使用難度的同時也帶來了潛在的安全風險——如果這個功能過於簡單，可能會導致產品連接到非預期用戶的 App 上，造成巨大的隱私風險。

在 IoT 產品本身和使用過程中，會存在硬體和雲接口的應用，所以除了上述四類場景外，IoT 產品的安全風險場景還包括硬體安全 TPM/TEE 及雲接口安全等等。

（三）IoT產品安全方案的局限性

1. CPU限制

產品越高端、越智能，對CPU的要求就越高。而越好的CPU，採購價格也更高，因此生產研發的成本也隨之提高，不可避免地對產品售價產生影響。超過消費者心理預期的高價格會使得產品相對過剩。因此，既要安全性能好，又要價位合適，是對開發者和商家提出的巨大考驗。

2. 電池限制

智能產品與普通產品相比，同樣的電量，智能產品需要進行更複雜的計算工作，耗電的速度也更快。電池效能與電池蓄電能力也是對開發者和商家的挑戰之一。

3. 邊界限制

產品的智能化帶來的不僅是生活的便利，也帶來了隱私洩露的風險。在酒店的家具中安裝監控器就暴露了這一問題。因此產品防護設備的運用場景也逐漸的多元化。網絡邊界在物聯網中的地位也越來越重要。

現階段，所有設備端的數據處理（包括接口）都在遠端用戶手裡，採取物理防護非常難且不易產生效果。

（四）IoT產品的隱私風險

1. IoT設備缺少交互界面，知情同意更加困難，用戶透明原則難以實現。

2. 數據收集從線上延展到線下場景，模糊了公共和個人空間的界限，可能會侵犯個人身體和情感的隱私信息，公共對隱私的防護意識會提升。

3. IoT設備融入日常生活，數據會暴露我們意想不到的信息，甚至用戶無法掌控，當設備逐漸被智能化，用戶將不得不選擇IoT產品。

4. IoT在兒童等群體的隱私保護上更加困難，父母作為監護人需要更多的知情權和控制權，IoT產品的智能特性和數據收集的隱蔽性導致用戶拒絕的可能性和選擇權降低。

三、物聯網平臺的安全隱私合規路徑

（一）合規安全的利益相關方

1. 用戶

用戶對產品所要求的是「安全感」，且產品的安全特性在具體的行業領域是公開透明的、是被政府所監督規制的。用戶也不希望在使用該產品的過程中自己的數據隱私會被侵犯，同樣，對於企業來講，一旦有侵犯數據的事件，前期積攢的聲譽即刻崩塌。

考慮用戶側的需求，可以在產品的適用初期進行用戶適用，並從用戶的反饋中找到前期研發過程中可能被忽略、遺漏、不重視的合規點，這雖然耗費時間成本高，也可能使前期所付出的努力一場空，但所得到的投資回報是豐厚的。

2. 業務

業務方即開發者，或者是企業內部的業務團隊，他們需要的安全要求是簡單可執行的、成熟的合規方案，不是紙上談兵，也不是專業法律術語，而是有參考的、可理解的，最好有開源的代碼可供參考。在最後提交代碼時建議一併提供加密的工具，保護智慧財產權，以免遭惡意網絡攻擊。

3. 監督

監督方所需要的安全要求是目前行業實踐的公開標準或者共同認可的標準與規範。因為監管受到的挑戰主要是來自用戶，用戶的痛點就是監管方所要監管制力的點。

監管不僅僅需要標準的規範，最好還需要有公開的商業機構能夠進行第三方認證，為監管工作提供依據保障。

（二）降低攻擊面，縮減攻擊鏈

以小米的技術架構為例。

小米的底層架構以米家認證的安全晶片以及固件安全為基礎，在這之上，就需要根據隱私風險、安全風險進行分類分級，籤訂「WIFI安全協議」、「BLE安全協議」、「Zigbee安全協議」、「NFC安全協議」等協議，而在第三層就是開發SDK，包括安全SDK（代碼），如此，不管什麼設備，底層架構是一樣的，聯網模塊是一樣的，代碼也是一樣的，雖然版本不一樣，但只需要按照版本去縮減攻擊面既可。

（三）安全引擎、軟體模塊與AIoT智能安全評估

如何保證過往發布的產品是安全的，這就需要有自動化的平臺，這個平臺有著各種自動化的能力，有App動態安全引擎、物聯網安全引擎，以及網絡安全引擎。網絡安全引擎主要解決區域網中的自動探測，包括腳本執行功能。

App 的很多的風險其實在雲端。首先要依靠上述三個硬體引擎的支撐，還需要有三個軟體的不同功能模塊——雲端的調度、動態的跟蹤和固件掃描。最終，智能評估通過自動調度，通過調用不同的引擎，執行不同的安全評估劇本，產出預警篩查報告的輸出。

（四）小米自動化隱私合規檢測

1. 實驗室評估報告

證據對於產品的上線至關重要。因為目前國內現有的監管合規體系不僅關注結果的合規性，還關注制度過程的合規性，這就需要在被檢查時能夠提供產品安全合規的評估報告以及產品的安全測試報告與隱私合規測試的輔助報告。如此，即使最終產品出現了風險，也能夠去溯源監管或處罰的依據，舉證內部企業無過錯。

2. 物聯網產品安全基線

物聯網產品安全基線涵括了領域內需要考慮的風險場景，以及對應的指導案例，通過案例指導具體的合規實踐活動。

3. IoT隱私白皮書

目前小米的隱私白皮已經寫了六款產品的數據收集和使用報告。還在「隱私原則」、「用戶請求和投訴」、「隱私設計」、「隱私治理」、「國際數據傳輸」、「隱私認證」這六方面進行了詳細的解讀。

4. 漏洞相應與披露流程

在 IoT 領域，國際標準裡面最重要的一條就是有漏洞要及時地響應，要及時地打補丁，公布補丁推送。

目前FTC（美國聯邦貿易委員會）的處罰，很多中國廠商、臺灣廠商都是因為打補丁不及時，或者沒有強制推送補丁而被處罰。FTC 認為漏洞披露還需要進到安全防護提醒義務，要推送給用戶補丁，甚至在危險場景要強制用戶安裝補丁。另外，遇到安全事件要及時披露。

目前小米的漏洞相應步驟與披露流程如下：

（1）漏洞接受。持續監控漏洞的接受渠道，及時查看和分配已接受的漏洞。

（2）漏洞驗證。安全工程師將對漏洞的有效性進行技術驗證，確認漏洞的可利用程度和潛在影響。

（3）確認漏洞修複方案。安全工程師將制定漏洞修複方案或風險緩解措施，並對其進行有效性驗證。

（4）確認受影響範圍。進一步排查所有可能受影響的產品，明確受漏洞影響的產品範圍。

（5）披露漏洞。在確認完成所有漏洞相應流程後，審核並發布該漏洞的安全建議。

我國在 App 安全治理上已經有了一定的經驗積累，我們不必過於仰慕西方在網絡安全和隱私保護上的概念，而是更應著眼於理解我們自己企業的威脅根因，並進行對症下藥。安全隱私保護絕不是一場「救火」式的遊戲，而應該融入到AIoT平臺生態建設的方方面面。從前瞻性視角出發完善安全隱私治理體系，對於AIoT平臺破解隱私洩露等合規難題至關重要，同時在產品設計之初便融入安全理念，能夠更加好地保護企業的網絡安全和用戶的隱私權益。

END